← Ana sayfa

Alt İşleyenler Listesi

Son güncelleme:

1. Amaç

Bu belge, Marfin’in müşteriler adına kişisel veri işlerken yararlanabileceği alt işleyenleri şeffaf biçimde açıklamak amacıyla hazırlanmıştır.

Liste özellikle aşağıdaki bilgileri göstermeyi hedefler:

  • sağlayıcının adı,
  • kullanılan ürün veya hizmet,
  • veri işleme amacı,
  • işlenebilecek veri kategorileri,
  • ilgili kişi grupları,
  • sağlayıcının hukuki rolü,
  • işleme ülkesi veya bölgesi,
  • saklama yaklaşımı,
  • yurt dışına aktarım mekanizması,
  • kullanım durumu,
  • son doğrulama tarihi.

2. Alt İşleyen Nedir?

Alt işleyen, Marfin’in müşteriye sunduğu hizmet kapsamında müşteri adına yürüttüğü kişisel veri işleme faaliyetinin tamamını veya bir bölümünü gerçekleştiren üçüncü taraf hizmet sağlayıcıdır.

Bir sağlayıcı her işlemde mutlaka alt işleyen olmayabilir.

Aynı sağlayıcı:

  • bazı işlemlerde alt işleyen,
  • bazı işlemlerde bağımsız veri sorumlusu,
  • bazı işlemlerde veri işlemeyen teknik hizmet sağlayıcı

konumunda olabilir.

Rol, gerçek veri akışına ve sözleşmeye göre belirlenir.


3. Durum Etiketleri

DurumAçıklama
AktifÜretim sisteminde kullanılıyor ve veri işleme ayrıntıları doğrulandı.
PlanlananKullanılması düşünülüyor ancak üretim sözleşmesi veya teknik kurulum tamamlanmadı.
DeğerlendirmedeAlternatif sağlayıcı olarak inceleniyor.
PasifYeni veri akışı durduruldu; yalnızca geçiş veya silme süreci devam ediyor olabilir.
KaldırıldıHizmet ilişkisi sona erdi ve saklama/silme işlemleri tamamlandı.

Yayımlanan müşteri sürümünde yalnızca gerekli statüler gösterilmelidir.


4. PLANLANAN VE DEĞERLENDİRİLEN SAĞLAYICILAR

4.1. Supabase

AlanBilgi
SağlayıcıSupabase
Sözleşme tarafı[BİLGİ TAMAMLANACAK]
Ürün / hizmetVeritabanı, kimlik doğrulama, dosya depolama ve bağlantılı altyapı
Kullanım durumuPlanlanan
Marfin açısından rolAlt işleyen olması beklenmektedir
Temel amaçUygulama verilerinin barındırılması, kullanıcı doğrulama ve veri erişimi
Muhtemel veri kategorileriHesap, kullanıcı, müşteri işlem, finansal kayıt, belge, teknik log ve müşteri verileri
İlgili kişi gruplarıMüşteri kullanıcıları ile müşterinin Platforma yüklediği üçüncü kişiler
İşleme ülkesi / bölgesiAvrupa Birliği bölgesi planlanmaktadır; kesin bölge [BİLGİ TAMAMLANACAK]
Saklama süresiMarfin saklama politikası ve müşteri hesabı süresiyle bağlantılı; sağlayıcı düzeyi doğrulanacak
Alt işleyenleri[RESMÎ ALT İŞLEYEN LİSTESİ DOĞRULANACAK]
Yurt dışına aktarımMuhtemel
Aktarım mekanizması[STANDART SÖZLEŞME / DİĞER UYGUN MEKANİZMA TAMAMLANACAK]
Son doğrulama[BİLGİ TAMAMLANACAK]

Üretim Öncesi Kontrol

  • Kesin veri merkezi bölgesi seçildi.
  • Veri işleme eki imzalandı.
  • Yedekleme ve silme davranışı doğrulandı.
  • Kimlik doğrulama logları ve saklama süreleri belirlendi.
  • Alt işleyenler incelendi.
  • Yurt dışı aktarım mekanizması tamamlandı.

4.2. Cloudflare

AlanBilgi
SağlayıcıCloudflare
Sözleşme tarafı[BİLGİ TAMAMLANACAK]
Ürün / hizmetDNS, CDN, trafik yönetimi, güvenlik ve saldırı azaltma
Kullanım durumuPlanlanan / mevcut alan adı yapılandırması teknik olarak doğrulanacak
Marfin açısından rolKullanılan ürüne göre alt işleyen veya bağımsız rol değerlendirmesi gerekir
Temel amaçTrafik yönlendirme, performans, erişilebilirlik ve güvenlik
Muhtemel veri kategorileriIP, cihaz ve tarayıcı bilgisi, istek zamanı, URL, güvenlik ve trafik logları
İlgili kişi gruplarıWeb sitesi ve Platform ziyaretçileri
İşleme ülkesi / bölgesiKüresel ağ nedeniyle [BİLGİ TAMAMLANACAK]
Saklama süresiKullanılan ürün ve log ayarına göre [BİLGİ TAMAMLANACAK]
Alt işleyenleri[RESMÎ ALT İŞLEYEN LİSTESİ DOĞRULANACAK]
Yurt dışına aktarımMuhtemel
Aktarım mekanizması[BİLGİ TAMAMLANACAK]
Son doğrulama[BİLGİ TAMAMLANACAK]

Üretim Öncesi Kontrol

  • Kullanılan Cloudflare ürünleri tek tek belirlendi.
  • Proxy/CDN üzerinden geçen veri kapsamı çıkarıldı.
  • Güvenlik logları ve saklama ayarları belirlendi.
  • Çerez ve benzeri teknolojiler envantere işlendi.
  • Sözleşme rolü ve aktarım mekanizması doğrulandı.

4.3. İyzico veya Güncel Ödeme Hizmeti Sağlayıcısı

AlanBilgi
Sağlayıcıİyzico veya üretimde seçilecek yetkili ödeme hizmeti sağlayıcısı
Sözleşme tarafı[BİLGİ TAMAMLANACAK]
Ürün / hizmetKartlı ödeme, abonelik tahsilatı, tokenizasyon ve iade
Kullanım durumuPlanlanan
Marfin açısından rolİşleme faaliyetine göre bağımsız veri sorumlusu ve/veya veri işleyen rolü değerlendirilecek
Temel amaçAbonelik bedellerinin tahsil edilmesi ve ödeme yönetimi
Muhtemel veri kategorileriİletişim, fatura, ödeme sonucu, işlem referansı, maskelenmiş kart ve token bilgisi
İlgili kişi gruplarıMüşteri yetkilileri ve ödeme yapan kişiler
İşleme ülkesi / bölgesi[BİLGİ TAMAMLANACAK]
Saklama süresiÖdeme ve finans mevzuatı ile sağlayıcı politikasına göre doğrulanacak
Tam kart verisiMarfin tarafından doğrudan saklanmaması hedeflenmektedir
Yurt dışına aktarım[BİLGİ TAMAMLANACAK]
Aktarım mekanizması[GEREKİYORSA TAMAMLANACAK]
Son doğrulama[BİLGİ TAMAMLANACAK]

Üretim Öncesi Kontrol

  • Kesin ödeme sağlayıcısı seçildi.
  • Kart verisinin Marfin sistemine girmediği teknik olarak doğrulandı.
  • Tokenizasyon ve otomatik yenileme akışı test edildi.
  • Sağlayıcının hukuki rolü belirlendi.
  • Yurt dışı veri akışı bulunup bulunmadığı doğrulandı.
  • İade ve ters ibraz kayıtları saklama süresi belirlendi.

4.4. Zoho veya Güncel E-Posta Sağlayıcısı

AlanBilgi
SağlayıcıZoho veya üretimde kullanılacak güncel e-posta/SMTP sağlayıcısı
Sözleşme tarafı[BİLGİ TAMAMLANACAK]
Ürün / hizmetKurumsal e-posta, SMTP, bildirim ve destek iletişimi
Kullanım durumuPlanlanan / mevcut kullanım doğrulanacak
Marfin açısından rolAlt işleyen olması beklenmektedir
Temel amaçHesap, güvenlik, fatura, destek ve hizmet bildirimleri
Muhtemel veri kategorileriAd, e-posta, ileti içeriği, işlem ve teslim kayıtları
İlgili kişi gruplarıMüşteriler, Yetkili Kullanıcılar, potansiyel müşteriler ve destek başvurusu sahipleri
İşleme ülkesi / bölgesi[BİLGİ TAMAMLANACAK]
Saklama süresiPosta kutusu ve log ayarlarına göre [BİLGİ TAMAMLANACAK]
Alt işleyenleri[BİLGİ TAMAMLANACAK]
Yurt dışına aktarımMuhtemel
Aktarım mekanizması[BİLGİ TAMAMLANACAK]
Son doğrulama[BİLGİ TAMAMLANACAK]

Üretim Öncesi Kontrol

  • Kullanılan ürün ve veri merkezi belirlendi.
  • SMTP veya uygulama bildirim logları çıkarıldı.
  • E-posta içerik saklama süreleri belirlendi.
  • Pazarlama e-postasıyla operasyonel e-posta ayrıldı.
  • Sözleşme ve aktarım mekanizması tamamlandı.

4.5. OpenAI

AlanBilgi
SağlayıcıOpenAI
Sözleşme tarafı[BİLGİ TAMAMLANACAK]
Ürün / hizmetKurumsal/API tabanlı yapay zekâ modelleri
Kullanım durumuPlanlanan / değerlendirilen
Marfin açısından rolKullanılan ürün ve sözleşmeye göre alt işleyen rolü doğrulanacak
Temel amaçAI sohbet, analiz, özet, sınıflandırma ve metin üretimi
Muhtemel veri kategorileriİstem, seçili finansal kayıt, belge içeriği, OCR metni, çıktı ve teknik loglar
İlgili kişi gruplarıYetkili Kullanıcılar ve Müşteri Verisinde yer alan ilgili kişiler
İşleme ülkesi / bölgesi[BİLGİ TAMAMLANACAK]
Marfin’de saklama[BİLGİ TAMAMLANACAK]
Sağlayıcıda saklamaKullanılan API planı ve ayara göre doğrulanacak
Genel model eğitimiKurumsal/API sözleşmesi ve hesap ayarı doğrulanmadan kesin ifade kullanılmayacak
İnsan incelemesiGüvenlik/kötüye kullanım süreçleri bakımından doğrulanacak
Alt işleyenleri[RESMÎ ALT İŞLEYEN LİSTESİ DOĞRULANACAK]
Yurt dışına aktarımMuhtemel
Aktarım mekanizması[STANDART SÖZLEŞME / DİĞER UYGUN MEKANİZMA]
Son doğrulama[BİLGİ TAMAMLANACAK]

Üretim Öncesi Kontrol

  • Tüketici ürünü yerine kullanılacak kurumsal/API ürünü belirlendi.
  • Veri saklama süresi sözleşme ve panelden doğrulandı.
  • Genel model eğitiminde kullanım ayarı doğrulandı.
  • Sıfır veya azaltılmış saklama seçeneği değerlendirildi.
  • Gönderilen gerçek veri alanları teknik testle çıkarıldı.
  • Maskeleme ve minimizasyon kuralları uygulandı.
  • Alt işleyen ve aktarım belgeleri tamamlandı.

4.6. Anthropic

AlanBilgi
SağlayıcıAnthropic
Sözleşme tarafı[BİLGİ TAMAMLANACAK]
Ürün / hizmetKurumsal/API tabanlı yapay zekâ modelleri
Kullanım durumuPlanlanan / değerlendirilen
Marfin açısından rolKullanılan ürün ve sözleşmeye göre alt işleyen rolü doğrulanacak
Temel amaçAI sohbet, analiz, özet, sınıflandırma ve metin üretimi
Muhtemel veri kategorileriİstem, seçili finansal kayıt, belge içeriği, OCR metni, çıktı ve teknik loglar
İlgili kişi gruplarıYetkili Kullanıcılar ve Müşteri Verisinde yer alan ilgili kişiler
İşleme ülkesi / bölgesi[BİLGİ TAMAMLANACAK]
Marfin’de saklama[BİLGİ TAMAMLANACAK]
Sağlayıcıda saklamaKullanılan API planı ve ayara göre doğrulanacak
Genel model eğitimiTicari/API ürün koşulları doğrulanmadan kesin ifade kullanılmayacak
İnsan incelemesiGüvenlik/kötüye kullanım süreçleri bakımından doğrulanacak
Alt işleyenleri[RESMÎ ALT İŞLEYEN LİSTESİ DOĞRULANACAK]
Yurt dışına aktarımMuhtemel
Aktarım mekanizması[STANDART SÖZLEŞME / DİĞER UYGUN MEKANİZMA]
Son doğrulama[BİLGİ TAMAMLANACAK]

Üretim Öncesi Kontrol

  • Kullanılacak ticari/API ürün belirlendi.
  • Veri saklama ve eğitim koşulları doğrulandı.
  • Güvenlik ve kötüye kullanım incelemesi değerlendirildi.
  • Gönderilen veri kapsamı teknik olarak çıkarıldı.
  • Maskeleme ve veri minimizasyonu uygulandı.
  • Alt işleyen ve aktarım belgeleri tamamlandı.

4.7. Analitik Sağlayıcısı

AlanBilgi
Sağlayıcı[ANALİTİK SAĞLAYICI BELİRLENECEK]
Ürün / hizmetWeb ve ürün analitiği
Kullanım durumuDeğerlendirmede
Temel amaçÜrün kullanımı, dönüşüm ve performans ölçümü
Muhtemel veri kategorileriÇerez/cihaz kimliği, IP, ekran ve olay kullanımı, hesapla ilişki kuruluyorsa kullanıcı kimliği
İşleme ülkesi / bölgesi[BİLGİ TAMAMLANACAK]
Saklama süresi[BİLGİ TAMAMLANACAK]
Açık rıza ihtiyacıGerçek ürün, ayar ve hukuki sebebe göre değerlendirilecek
Yurt dışına aktarım[BİLGİ TAMAMLANACAK]
Aktarım mekanizması[BİLGİ TAMAMLANACAK]
Son doğrulama[BİLGİ TAMAMLANACAK]

Analitik sağlayıcı seçilmeden Çerez Politikası envanterinde aktif sağlayıcı gösterilmemelidir.


4.8. Hata ve Performans İzleme Sağlayıcısı

AlanBilgi
Sağlayıcı[HATA İZLEME SAĞLAYICISI BELİRLENECEK]
Ürün / hizmetHata, çökme ve performans izleme
Kullanım durumuDeğerlendirmede
Temel amaçTeknik hata ve performans sorunlarını tespit etmek
Muhtemel veri kategorileriHata mesajı, cihaz, işletim sistemi, IP, işlem ve sınırlı kullanıcı bağlamı
Hassas veri filtrelemeUygulanması zorunlu; gerçek ayar doğrulanacak
İşleme ülkesi / bölgesi[BİLGİ TAMAMLANACAK]
Saklama süresi[BİLGİ TAMAMLANACAK]
Yurt dışına aktarım[BİLGİ TAMAMLANACAK]
Aktarım mekanizması[BİLGİ TAMAMLANACAK]
Son doğrulama[BİLGİ TAMAMLANACAK]

Hata loglarına parola, tam kart bilgisi, erişim tokenı veya tam belge içeriği gönderilmemelidir.


4.9. E-Dönüşüm Entegratörü

AlanBilgi
Sağlayıcı[E-DÖNÜŞÜM ENTEGRATÖRÜ BELİRLENECEK]
Ürün / hizmete-Fatura, e-Arşiv ve ileride e-İrsaliye/e-Defter
Kullanım durumuDeğerlendirmede
Marfin açısından rolVeri işleyen, alt işleyen veya bağımsız veri sorumlusu rolü sözleşmeyle belirlenecek
Temel amaçElektronik belge oluşturma, gönderme, alma ve durum yönetimi
Muhtemel veri kategorileriFatura tarafları, vergi bilgileri, iletişim, ürün/hizmet kalemleri, tutar ve belge kayıtları
İşleme ülkesi / bölgesi[BİLGİ TAMAMLANACAK]
Saklama süresiMevzuat ve entegratör sözleşmesine göre doğrulanacak
Yurt dışına aktarım[BİLGİ TAMAMLANACAK]
Son doğrulama[BİLGİ TAMAMLANACAK]

4.10. Banka / Açık Bankacılık Sağlayıcısı

AlanBilgi
Sağlayıcı[BANKA VEYA AÇIK BANKACILIK SAĞLAYICISI BELİRLENECEK]
Ürün / hizmetBanka hesap ve hareket verisi bağlantısı
Kullanım durumuDeğerlendirmede
Marfin açısından rolGerçek hizmet ve lisans yapısına göre belirlenecek
Temel amaçHesap, bakiye ve işlem verilerinin Marfin’e aktarılması
Muhtemel veri kategorileriHesap bilgisi, bakiye, işlem tutarı, tarih, açıklama ve karşı taraf bilgileri
İşleme ülkesi / bölgesi[BİLGİ TAMAMLANACAK]
Saklama süresi[BİLGİ TAMAMLANACAK]
Yurt dışına aktarım[BİLGİ TAMAMLANACAK]
Son doğrulama[BİLGİ TAMAMLANACAK]

4.11. Pazaryeri Entegrasyon Sağlayıcıları

AlanBilgi
Sağlayıcı[PAZARYERİ VEYA ARACI ENTEGRASYON SAĞLAYICILARI BELİRLENECEK]
Ürün / hizmetSipariş, ürün, stok, iade ve satış verisi entegrasyonu
Kullanım durumuDeğerlendirmede
Marfin açısından rolPlatform ve entegrasyon modeline göre belirlenecek
Muhtemel veri kategorileriAlıcı, teslimat, iletişim, sipariş, ürün, ödeme ve iade bilgileri
İşleme ülkesi / bölgesi[BİLGİ TAMAMLANACAK]
Saklama süresi[BİLGİ TAMAMLANACAK]
Yurt dışına aktarım[BİLGİ TAMAMLANACAK]
Son doğrulama[BİLGİ TAMAMLANACAK]

5. YENİ ALT İŞLEYEN BİLDİRİMİ

Marfin, Müşteri Verisini işleyecek yeni ve esaslı bir alt işleyeni devreye almadan önce müşteriye makul bildirimde bulunur.

Standart hedef bildirim süresi:

15 takvim günü

Bildirim:

  • kayıtlı e-posta,
  • hesap içi duyuru,
  • bu listenin değişiklik bildirim sistemi

üzerinden yapılabilir.

Acil güvenlik, hizmet sürekliliği veya zorunlu sağlayıcı değişikliğinde daha kısa süre uygulanabilir.


6. MÜŞTERİNİN İTİRAZ HAKKI

Müşteri, yeni alt işleyen bildiriminden sonra:

10 takvim günü

içinde makul ve belgeli veri koruma gerekçesiyle itiraz edebilir.

İtiraz:

  • etkilenen veri kategorisini,
  • somut güvenlik veya hukuk riskini,
  • talep edilen çözümü

açıklamalıdır.

Taraflar şu çözümleri değerlendirebilir:

  • ek güvenlik tedbiri,
  • ilgili özelliğin kapatılması,
  • veri kapsamının azaltılması,
  • alternatif sağlayıcı,
  • aktarım mekanizmasının değiştirilmesi.

Çözüm bulunamazsa DPA’daki fesih veya hizmet sınırlandırma hükümleri uygulanır.


7. SAĞLAYICI DEĞİŞİKLİĞİ VE KALDIRMA

Bir sağlayıcı kaldırıldığında:

  1. yeni veri aktarımı durdurulur,
  2. erişim anahtarı ve bağlantılar iptal edilir,
  3. gerekli veri dışa aktarımı yapılır,
  4. sözleşmedeki silme veya iade süreci başlatılır,
  5. saklama süresinin sonunda silme teyidi alınır,
  6. liste “Pasif” veya “Kaldırıldı” olarak güncellenir.

Yasal saklama veya güvenlik zorunluluğu bulunan kayıtlar sınırlı süre tutulabilir.


8. ALT İŞLEYEN DEĞERLENDİRME KRİTERLERİ

Marfin bir sağlayıcıyı üretime almadan önce aşağıdaki konuları değerlendirir:

  • şirket ve sözleşme tarafı,
  • veri işleme rolü,
  • veri merkezi ve işleme ülkesi,
  • güvenlik tedbirleri,
  • erişim ve gizlilik kontrolleri,
  • alt işleyen zinciri,
  • ihlal bildirimi,
  • saklama ve silme,
  • yedekleme,
  • veri taşınabilirliği,
  • yurt dışı aktarım mekanizması,
  • hizmet sürekliliği,
  • sözleşmenin sona erme koşulları.

Yalnızca pazarlama sayfasındaki genel güvenlik beyanları yeterli kabul edilmez; sözleşme ve gerçek ürün ayarları incelenir.


9. MÜŞTERİYE SUNULACAK BİLDİRİM ŞABLONU

Konu: Marfin Alt İşleyen Değişikliği

Marfin hizmetlerinin sunulması kapsamında kullanılan alt işleyenler listesinde değişiklik yapılacaktır.

Yeni/değişen sağlayıcı: [SAĞLAYICI]
Hizmet: [HİZMET]
Planlanan başlangıç tarihi: [TARİH]
İşlenecek veri kategorileri: [VERİ KATEGORİLERİ]
İşleme ülkesi/bölgesi: [ÜLKE/BÖLGE]
Yurt dışı aktarım mekanizması: [MEKANİZMA]

Veri koruma bakımından makul ve belgeli bir itirazınız varsa bildirimin size ulaşmasından itibaren 10 takvim günü içinde [İLETİŞİM ADRESİ] üzerinden bize iletebilirsiniz.


10. DEĞİŞİKLİK GEÇMİŞİ

SürümTarihDeğişiklik
0.1.014 Temmuz 2026İlk taslak oluşturuldu.

Her sağlayıcı değişikliğinde:

  • eklenen,
  • kaldırılan,
  • rolü veya bölgesi değişen

sağlayıcı açıkça belirtilmelidir.


11. İLETİŞİM

Alt işleyenlerle ilgili sorular için:

E-posta: info@marfin.com.tr
KVKK iletişim: info@marfin.com.tr
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]


12. YAYIN ÖNCESİ KONTROL LİSTESİ

Bu bölüm yayımlanan müşteri sürümünden kaldırılabilir veya ayrı iç kontrol dosyasına taşınabilir.

  • Yalnızca gerçekten kullanılan sağlayıcılar “Aktif” olarak işaretlendi.
  • Her sağlayıcının tam ticari unvanı doğrulandı.
  • Kullanılan ürün ve plan adı doğrulandı.
  • Veri işleme rolü sözleşmeye göre belirlendi.
  • Veri kategorileri gerçek teknik akışla karşılaştırıldı.
  • İşleme ülkesi ve veri merkezi doğrulandı.
  • Saklama süresi ve silme yöntemi belirlendi.
  • Alt işleyen zinciri incelendi.
  • İhlal bildirim şartları incelendi.
  • Yurt dışı aktarım mekanizması tamamlandı.
  • Gerekli standart sözleşmeler imzalandı.
  • Gerekli Kurum bildirim ve kayıtları tamamlandı.
  • DPA ve Gizlilik Politikası güncellendi.
  • Çerez Politikası ve SDK envanteri güncellendi.
  • AI Veri İşleme Politikası güncellendi.
  • Yeni sağlayıcı bildirim sistemi kuruldu.
  • Müşteri itiraz süreci operasyonel olarak oluşturuldu.
  • Hukukçu incelemesi tamamlandı.
  • Teknik doğrulama tamamlandı.
  • Yürürlük tarihi eklendi.
  • Placeholder alanlar dolduruldu.
  • İç kontrol listesi yayımlanan sürümden çıkarıldı.

13. İLGİLİ BELGELER

  • Gizlilik Politikası
  • Çerez Politikası
  • Veri İşleme Sözleşmesi (DPA)
  • Yurt Dışına Veri Aktarım Eki
  • AI Veri İşleme Politikası
  • Üçüncü Taraf Entegrasyon Politikası
  • Veri Akış Matrisi

BELGE SONU

Bu belge, Marfin Hukuki Dokümantasyon Projesi kapsamında hazırlanmıştır.

Yayın durumu: Taslak
Aktif sağlayıcı doğrulaması: Bekleniyor
Yurt dışı aktarım doğrulaması: Bekleniyor
Hukukçu onayı: Bekleniyor
Yürürlük tarihi: [BİLGİ TAMAMLANACAK]